我在我的网站上使用JWT身份验证来获取登录数据。看起来我们可以在没有密钥的情况下解码JWT令牌。请尝试以下网站。真让我震惊因此,除了JWT令牌认证之外,还有没有其他更好的令牌认证方法。
您可以尝试使用任何键。来自站点https://medium.com/@siddharthac6/json-web-token-jwt-the-right-way-of-implementing-with-node-js-65b8915d550e
的示例令牌:eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJkYXRhMSI6IkRhdGEgMSIsImRhdGEyIjoiRGF0YSAyIiwiZGF0YTMiOiJEYXRhIDMiLCJkYXRhNCI6IkRhdGEgNCIsImlhdCI6MTUyNTE5MzM3NywiZXhwIjoxNTI1MjM2NTc3LCJhdWQiOiJodHRwOi8vbXlzb2Z0Y29ycC5pbiIsImlzcyI6Ik15c29mdCBjb3JwIiwic3ViIjoic29tZUB1c2VyLmNvbSJ9.ID2fn6t0tcoXeTgkG2AivnG1skctbCAyY8M1ZF38kFvUJozRWSbdVc7FLwot-bwV8k1imV8o0fqdv5sVY0Yzmg
答案 0 :(得分:1)
您提供的令牌是JWS,即已签名令牌。与其他任何经过数字签名的数据一样,可以读取有效载荷。
我认为混淆来自您提到的写在 <a href="www.domain.com/form.php?package=standard" class="btn btn-primary" target="_blank">Im a button</a>
上的文章,而对于JWS,该算法是一种签名算法。
希望用户评论了services.ConfigureApplicationCookie(opt =>
{
opt.Cookie.Name = "Unique Value Per App";
});
。
其他SO用户指出this question和this other one非常相似。
通过适当的方式(仅会话存储,HTTPS通道,Httponly +受保护的cookie),即使可以读取内容,JWS也可以得到完全的保护。